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Prufungsantrag gem. 5 44 PatG ist gestellt 
@ Verfahren zur Authentifizierung eines eine Datenstation benutzenden Anwenders 



) Bei einem Verfahren zur Authentifizierung eines eine 
Datenstation benutzenden Anwenders gegenuber einem mit 
der Datenstation verbundenen Rechnersystem, wobei im 
Rechnersystem mittels eines dort fur den Anwender gespei- 
cherten Pa&wortes und einer im Rechnersystem erzeugten 
Zufallszahl ein erster Wert und in der Datenstation mittels 
des vom Anwender eingegebenen PaHwortes und der 
Zufallszahl ein zweiter Wert ermittelt und die Beziehung der 
beiden Werte zueinander ausgewertet wird, werden das 
PaRwort a und die Zufallszahl r sowohf im Rechnersystem 
(14) als auch in der Datenstation (16) jeweils durch eine 
Einwegfunktion (26, 22) verknupft. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zur Authentifi- 
zierung eines eine Datenstation benutzenden Anwen- 
ders gegenOber einem mit der Datenstation verbun- 
denen Rechnersystem, wobei im Rechnersystem mittels 
eines dort fiir den Anwender gespeicherten PaBwortes 
und einer im Rechnersystem erzeugten Zufallszahl ein 
erster Wert und in der Datenstation mittels des vom 
Anwender eingegebenen PaBwortes und der Zufallszahl 
ein zweiter Wert ermittelt und die Beziehung der beiden 
Werte zueinander ausgewertet wird 

Das erfindungsgemaBe Verfahren befaBt sich ganz 
allgemein mit dem Problem der Authentifizierung bei 
Rechnersystemen, die jeweils mit einer Vielzahl von Da- 
tenstationen verbunden sind. Die Datenstationen kdn- 
nen dabei Rechner mit Emulationsprogrammen, Perso- 
nal Computer oder dedizierte Datenstationen sein. So- 
bald ein Benutzer oder Anwender auf einen Rechner 
uber seine Datenstation zugreifen will, wird er vom 
Rechner aufgefordert, sich durch ein PaBwort zu au- 
thentifizieren. Er ubermittelt das PaBwort an die Daten- 
station, die es als Nachricht zum Rechner ubertragt Das 
Problem besteht darin, daB ein unberechtigter Benutzer 
seine Datenstation so modifizieren kann, daB er eine 
Kopie der von der ersten Datenstation an den Rechner 
gesandten Nachricht empfangt und aus der Datensta- 
tion entnimmt Danach kann sich der unberechtigte Be- 
nutzer anstelle des berechtigten authentifizieren, weil er 
das PaBwort kennt Ein weitefer Mangel dieser Art der 
Authentifizierung liegt darin, daB ein privilegierter Be- 
nutzer, der unbeschrankten Zugriff auf die Daten im 
Rechner hat, sich das PaBwort eines Benutzers durch 
Auslesen aus dem Speicher aneignen kann. 

Bei einem ersten bekannten Verfahren zur Authenti- 
fizierung wird bei der PaBwortanmeldung das unver- 
schlusselte PaBwort von der Datenstation des Benut- 
zers dem Rechnersystem ubermittelt Dort wird das 
PaBwort mittels einer Einwegfunktion verschliisselt und 
in einer Datei gespeichert Bei der PaBwortbenutzung, 
d. h. bei der Authentifizierung wird dann ebenfalls das 
im KJartext von der Datenstation zu dem Rechnersy- 
stem gesandte PaBwort in dem Rechnersystem durch 
eine Einwegfunktion verschliisselt Als Einwegfunktion 
wird dabei eine Funktion bezeichnet, die einfach zu be- 
rechnen ist t fur die jedoch kein Verfahren existiert urn 
ihre Umkehrfunktion mit vertretbarem Aufwand zu be- 
rechnen. 

Der resultierende Wert wird anschlieBend mit dem in 
der Datei abgespeicherten verschliisselten PaBwort ver- 
glichen. Bei Gleichheit gilt der Benutzer als authentifi- 
ziert Bei diesem Verfahren ist es nicht mdglich, durch 
Auslesen der PaBwortdatei Kenntnis von dem PaBwort 
zu erlangen. Allerdings kann das im Klartext an das 
Rechnersystem ubermittelte PaBwort abgehort und an- 
schlieBend miBbrauchlich genutzt werden. 

Eine Verbesserung kann erreicht werden, wenn die 
Authentifizierung im Dialog zwischen der Datenstation 
und dem Rechnersystem erfolgt Hierzu wurde bereits 
vorgeschlagen, ein symmetrisches Chiffrierverfahren 
einzusetzen. Dabei wird bei der Anmeldung das PaB- 
wort 20 in einer geschiitzten Datei im Klartext gespei- 
chert Zur Authentifizierung wird in dem Rechnersy- 
stem in einem Zufallszahlengenerator eine Zufallszahl 
erzeugt mit einer Verschliisselungseinheit verschliisselt 
und an die Datenstation geschickt Diese Nachricht wird 
mit dem dem Benutzer abgeforderten PaBwort mit ei- 
nem Entschlufller entschliisselt, durch eine Addition mo- 
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difiziert, mit dem PaBwort durch den VerschliiBler ver- 
schlusselt und an das Rechnersystem zuriickgeschickt 
Im Rechnersystem wird die Nachricht durch einen Ent- 
schlQBler entschliisselt und mit der durch die Addition 
5 ebenfalls modifizierten Zufallszahl verglichen, wobei 
sich im Vergleicher Obereinstimmung ergeben muB. 
Nachteilig an dieser Ldsung ist ebenfalls, daB das PaB- 
wort einem privilegierten Benutzer (Systemverwalter) 
oder Anlagentechniker zuganglich ist der die entspre- 

io chende Datei auslesen kann. Daher kann das PaBwort 
auch in diesem Falle gestohlen werden. 

SchlieBlich wurde auch ein Verfahren entwickelt das 
vom Benutzer die Aufbewahrung von mindestens zwei 
Werten verlangt Diese SchlQssel werden von einer 

15 Schlusselzentrale nach einem bestimmten Verfahren er- 
zeugt und sind daher vom Benutzer nicht frei wahlbar, 
so daB dieser nicht ein mnemotechnisches PaBwort wie 
in herkommlichen PaBwortldsungen selbst wahlen 
kann. Da sich der Benutzer aus Sicherheitsgrlinden das 

20 PaBwort nicht aufschreiben darf, ist das Verfahren nur 
in Verbindung mit Chipkarten praktikabel. 

Der Erfindung liegt die Aufgabe zugrunde, ein Ver- 
fahren der eingangs genannten Art anzugeben, das eine 
hdhere Sicherheit bei einfacher Handhabung bietet 

25 Diese Aufgabe wird bei einem Verfahren-der ein- " 
gangs genannten Art dadurch gelost, dafl das PaBwort 
und die Zufallszahl sowohl im Rechnersystem als auch 
in der Datenstation jeweils durch eine Einwegfunktion 
miteinander verknupft werden. In diesem Falle wird das 

30 PaBwort niemals im KJartext uber eine der Verbin- 
dungsieitungen zwischen der Datenstation und dem 
Rechnersystem gesandt Es kann daher auch nicht abge- 
hort und miBbrauchlich benutzt werden. Dabei kann das 
PaBwort bei der Anmeldung uber einen geschiitzten 

35 Kanal, beispielsweise durch einen Boten, dem Rechner- 
system mitgeteilt und im Klartext gespeichert werden, 
wobei diese Ldsung allerdings noch den oben genann- 
ten Nachteil hat daB die Datei durch einen privilegier- 
ten Benutzer oder Anlagentechniker ausgelesen werden 

40 kann. In diesem Falle ist es zweckmaBig, bei der PaB- 
wortanmeldung dieses bereits durch eine Einwegfunk- 
tion zu verschlusseln und im verschliisselten Zustand zu 
speichern. 

Eine erhdhte Sicherheit erhait man auch, wenn die 

45 Zufallszahl vor ihrer Obermittlung an die Datenstation 
durch eine Einwegfunktion verschlQsselt wird. Um unter 
den vorstehend beschriebenen Voraussetzungen auf 
einfache Weise im Rechnersystem und in der Datensta- 
tion Werte zu erzeugen, die miteinander verglichen 

50 werden konnen, ist es zweckmaBig, zur VerschlQsselung 
des PaBwortes und zur Verkntipfung des verschliissel- 
ten Wertes mit der Zufallszahl in dem Rechnersystem 
einerseits und zur VerschlQsselung der Zufallszahl und 
ihrer Verknupfung mit dem verschliisselten PaBwort in 

55 der Datenstation andererseits kommutative Einweg- 
funktionen zu verwenden, wie dies weiter unten noch 
naher erlautert wird 

Die Verknupfungs- und/oder Verschliisselungsschrit- 
te mittels Einwegfunktionen konnen auch mindestens 

60 einmal wiederholt werden. 

Um gegen die Vortauschung eines Rechnersystems 
(anstelle des tatsachlich vorhandenen Rechnersystems) 
gesichert zu sein, kann das Verfahren auf gegenseitige 
Authentifikation erweitert werden, in dem die verschie- 

65 denen Verfahrensschritte in dem Rechnersystem und 
der Datenstation verschachtelt gleichzeitig ablaufen. 

Es besteht auch die Mdglichkeit, den durch Verschliis- 
selung des PaBwortes bei der Anmeldung erzeugten 
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Wert, den sogenannten Authentifikator, nicht in dem 
Rechnersystem abzuspeichern, sondern ihn dem Rech- 
nersystem zusammen mit der Identification zu ubermit* 
teln, wobei der Authentifikator durch ein Signaturver- 
fahren an sich bekannter Art beglaubigt ist Damit wird 
jeder Versuch unterbunden, durch Auslesen der ent- 
sprechenden Datei in dem Rechnersystem an den Au- 
thentifikator und damit unter Umstanden doch noch an 
das PaBwort zu gelangen. 

Die Operationen mit den Schltisselfunktionen konnen 
in einer versiegelten Einheit stattfinden, in der sich der 
geheime SchlQssel befindet und nicht ausgelesen wer- 
den kann. Ledigiich der Authentifikator ist in diesem 
Falle elektronisch oder optisch lesbar. Eine solche Ein- 
heit kann beispielsweise als Chipkarte ausgebildet seia 

AIs Einwegfunktion kann beispielsweise die diskrete 
. Exponentiation modulo einer ganzen Zahl oder einer 
Polynomerweiterung eines Zahlenringes verwendet 
werden. 

Die mathematischen Grundlagen hierfur sind an sich 
bekannt. Dabei werden die Berechnungen modulo einer 
groBen Primzahl q ausgefiihrt, so daB nur die Zahlen 
von 0 bis ausschlieBlich dieser groBen Zahl q auftreten. 
Zu diesem Modul wird eine weitere Zahl w bestimmt 
die ein primitives Element des Galois-Korpers GF (q) 
ist Dies bedeutet, daB die Potenzen w' von w alle ver- 
schieden sind, solange i kleiner als q ist Da q eine Prim- 
zahl ist, ist jede Zahl w < q ein primitives Element 

Alternativ hierzu kdnnen auch die Rechenverfahren 
der Polynom-Arithmetik angewendet werden modulo 
zu ein em irreduziblen Polynom vom Grade n. Vor- und 
Nachteile sind ausreichend in der Literatur besprochen 
und nicht Gegenstand der vorliegenden Erfindung. 

Unter diesen Randbedingungen ist die Funktion f(x, y) 
« x y einfach zu berechnen, aber die inverse Funktion 
f~ l (x, z) » logxZ ist nur mit sehr groBem Rechenauf- 
wand berechenbar. Fur q ungefuhr 2 200 bencitigt die 
Exponentiation ca. 200 Multiplikationen (von 200-Bit- 
Werten). Die besten bekannten Verfahren zur Logarith- 
musbildung jedoch bendtigen 10 9 Multiplikationen. Da- 
mit ist die Eigenschaft einer Einwegfunktion gegen. We- 
gen 

f(f(x,y),z)=(x^^ 

ist die Exponentiation rechts-kommutativ. 

Die folgende Beschreibung erlautert in Verbindung 
mit den beigefiigten Zeichnungen die Erfindung anhand 
von Ausfuhrungsbeispielen. Es zeigen: 

Fig. 1 ein Ablaufschema des erfindungsgemaBen Ver- 
fahrens gemaB einer ersten AusfQhrungsform und 

Fig. 2 ein Ablaufschema des erfindungsgemaBen Ver- 
fahrens gemaB einer zweiten Ausfuhrungsform. 

Das in der Fig. 1 dargestellte Verfahren soli das Ab- 
horen des PaBwortes bei der Authentifizierung verhin- 
dern. Es wird dabei zwischen der PaBwortanmeldung, 
einem einmaligen Vorgang, und der PaBwortbenutzung 
oder Authentifizierung, einem beliebig wiederholbaren 
Vorgang, unterschieden. Bei der PaBwortanmeldung 
wird das vom Benutzer 10 gewahlte PaBwort a uber 
einen geschtitzten Kanal, z. B. durch einen Boten, in eine 
geheime Datei 12 eines Rechners 14 eingetragen und 
dort im KJartext gespeichert Will der Benutzer an- 
schlieBend eine Leistung des Rechners 14 iiber eine mit 
diesem verbundene Datenstation 16 abrufen, so wird 
seine Berechtigung hierzu uberpruft (Authentifizie- 
rung). Dies erfolgt in der Weise, daB in einem Zufallsge- 
nerator IS eine Zufallszahl r gebildet wird, indem bei- 



spielsweise die Tageszeit mit der ProzeBnummer multi- 
pliziert wird. Diese Zufallszahl r wird iiber einen Kanal 
20 zur Datenstation 16 Obertragen. In der Datenstation 
wird nach Anforderung des PaBwortes a in dem Funk- 

5 tionsrechner 22 die zweistellige Einwegfunktion "modu- 
lare Exponentiation" ausgefuhrt indem der Wert x = r a 
gebildet wird. Dieser Wert x wird fiber einen Kanal 24 
an den Rechner 14 zuruckttbertragen. Im Rechner 14 
wird zeitgleich mit den Vorgangen in der Datenstation 

io 16 unter Verwendung des in der Datei 12 gespeicherten 
PaBwortes a und der Zufallszahl r in einem Funktions- 
rechner 26 ebenfalls der Wert r* gebildet Dieser Wert 
und der Wert x werden in einem Vergleicher 28 mitein- 
ander verglichen. Bei Gleichheit gilt der Benutzer als 

15 authentifiziert Aus den Uber die Kanale 20 und 24 iiber- 
tragenen Daten kann das PaBwort wegen der Einwegei- 
genschaft der moduiaren Exponentiation nicht mit ver- 
tretbarem Aufwand ermittelt werden. Damit kann das 
PaBwort a auch nicht durch Abhoren der Verbindung 

20 zwischen der Datenstation 16 und dem Rechner 14 er- 
mittelt werden. Allerdings ist das PaBwort im Rechner 
14 fur einen privilegierten Benutzer zuganglich gespei- 
chert 

Um auch diese MiBbrauchsquelle zu verstopfen, wur- 

25 de das Verfahren gemaB Abbildung 2 erweitert Gleiche 
Teile sind wiederum mit gleichen Bezugsziffern verse- 
hen. Im Gegensatz zu der Losung gemaB Fig. t wird das 
PaBwort bei der PaBwortanmeldung in der Datensta- 
tion 16 mittels eines Funktionsrechners 30 durch eine 

30 Einwegfunktion verschlusselt, indem der Authentifika- 
tionswert u-w* berechnet wird. Dieser Authentifika- 
tionswert u, der das PaBwort a nur in einer verschlussel- 
ten Form enthalt, wird dem Rechner 14 zugefuhrt und in 
der Datei 12 gespeichert 

35 Ferner wird bei der Authentifizierung die Zufallszahl 
r vor dem Obermitteln an die Datenstation 16 in einem 
Funktionsrechner 32 verschlusselt, indem der Wert 
x-w r berechnet wird Dieser verschlusselte Wert x 
wird Qber den Kanal 20 der Datenstation 16 zugefuhrt 

40 Bei der Authentifizierung wird dann in dem Funk- 
tionsrechner 26 des Rechners 14 der Wert z=*u r = w a * r 
gebildet In dem Funktionsrechner 22 der Datenstation 
16 wird der Wert y-x a =w r * a «w** r gebildet Man 
erkennt, daB trotz des unterschiedlichen Berechnungs- 

45 weges die Funktionen z und y identisch sind Bei Gleich- 
heit der Wert y und z gilt der Benutzer 10 wieder als 
authentifiziert Bei dem Verfahren gemaB Abbildung 2 
ist es weder wahrend der PaBwortanmeldung noch wah- 
rend der PaBwortbenutzung mdglich, durch Abhoren 

50 der Kanile zwischen der Datenstation 16 und dem 
Rechner 14 das PaBwort a zu ermitteln. Auch die Kennt- 
nis des Inhaltes der Datei 12 fuhrt nicht zur Kenntnis des 
PaBwortes a. Der Authentifikator u und der Wert w 
kdnnen bekannt sein. Dennoch ist es nicht moglich, mit 

55 vernOnftigem Aufwand das PaBwort a zu ermitteln. 

Die Berechnungen der Datenstation kdnnen vollstan- 
dig in einer Chipkarte realisiert werden, so daB der Be- 
nutzer sein PaBwort nicht einer Maschine anvertrauen 
muB, auf die er keinen EinfluB hat und die manipuliert 

60 seinkdnnte. 

Um gegen die Vortauschung eines Rechnersystems 
gesichert zu sein, kann das Verfahren leicht auf gegen- 
seitige Authentifizierung erweitert werden, indem die 
beiden Verfahren gleichzeitig ablaufen und die jeweili- 

65 gen Nachrichtenbldcke die Informationen beider Ver- 
fahren tragen. Die Anzahl der Kommunikationsschritte 
zwischen dem Rechner und der Datenstation erhoht 
sich dadurch nicht 
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Die Losung gemaB Fig. 2 kann noch dadurch erwei- 
tert werden, dafl im Rechensystem k s = p r = w s * r und in 
der Datenstation k s -x s -w r * s gebildet werden. Beide 
Werte sind gleich, wie bereits oben festgestellt wurde. 
Sie kdnnen jedoch nicht durch Belauschen der Daten- 5 
verbindungen ermittelt werden. Sie sind daher als "ses- 
sion-keys" fur die Verschlusselung der nachfolgenden 
Datenkommunikation mit einem symmetrischen Ver- 
fahren geeignet 

Anstelle der Vorbereitung, in der iiber einen authenti- 10 
fizierten Kanal der Authentifikator vom Anwender zum 
Rechner ubermittelt und dann vom Rechner gespei- 
chert wird, kann auch das Paar (Anwender, PaBwort) 
mit einer digitalen Unterschrift versehen werden, wie 
dies beispielsweise in El-Gamal, "A Public Key Crypto- 15 
system and a Signature Scheme Based on Discrete Log- 
arithms", IEEE-IT 31 (1985), Seiten 469-472 beschrie- 
ben ist Bei der Identifikation schickt dann der Anwen- 
der zusammen mit seinem Namen A auch das zertifi- 
zierte Paket A, a. Diese Variante ist nutzlich, wenn ein 20 
Anwender mit mehreren verschiedenen Rechensyste- 
men kommuniziert Dann wird der Authentifikator 
durch eine Zulassungsstelle versiegelt 

Patentanspruche 25 

1. Verfahren zur Authentifizierung eines eine Da- 
tenstation benutzenden Anwenders gegenuber ei- 
nem mit der Datenstation verbundenen Rechnersy- 
stem, wobei im Rechnersystem mittels eines dort 30 
fur den Anwender gespeicherten PaBwortes und. 
einer im Rechnersystem erzeugten Zufallszahl ein 
erster Wert und in der Datenstation mittels des 
vom Anwender eingegebenen PaBwortes und der 
Zufallszahl ein zweiter Wert ermittelt und die Be- 35 
ziehung der beiden Werte zueinander ausgewertet 
wird, dadurch gekennzeichnet, daB das PaBwort a 
und die Zufallszahl r sowohl im Rechnersystem (14) 
als auch in der Datenstation (16) jeweils durch eine 
Einwegfunktion (26, 22) verknupft werden. 40 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB das PaBwort a vor seiner Obermitt- 
lung an das und seiner Speicherung in dem Rech- 
nersystem (14) durch eine Einwegfunktion (30) ver- 
schiusselt wird. 45 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB die Zufallszahl r vor ihrer Ober- 
mittlung an die Datenstation (16) durch eine Ein- 
wegfunktion (32) verschliisseit wird. 

4. Verfahren nach den Anspruchen 2 und 3, dadurch 50 
gekennzeichnet, daB zur Verschlusselung des PaB- 
wortes a und zur Verkniipfung des verschliisselten 
Wertes u mit der Zufallszahl einerseits und zur Ver- 
schlusselung der Zufallszahl r und ihrer Verknup- 
fung mit dem unverschliisselten PaBwort a ande- 55 
rerseits kommutative Einwegfunktionen verwen- 
det werden. 

5. Verfahren nach einem der Ansprtiche 1 bis 4, 
' dadurch gekennzeichnet, daB die Verknupfungs- 

und/oder Verschlusselungsschritte mittels Einweg- 60 
funktionen mindestens einmal wiederholt werden. 

6. Verfahren nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, daB als Einwegfunktion 
die diskrete Exponentiation modulo einer ganzen 
Zahl oder einer Polynomerweiterung eines Zahlen- 65 
ringes verwendet wird. 

7. Verfahren nach einem der Anspruche 1 bis 6, 
dadurch gekennzeichnet, eine gegenseitige Au- 
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thentifizierung von Anwender und Rechnersystem 
nach einem der Anspruche 1 bis 6 erfolgt, wobei die 
verschiedenen Verfahrensschritte verschachtelt 
gleichzeitig ablaufen. 

8. Verfahren nach einem der Anspruche 2 bis 7, 
dadurch gekennzeichnet, daB der Authentifikator 
dem Rechner vom Anwender zusammen mit der 
Identifikation ubermittelt wird, wobei der Authen- 
tifikator durch ein Signaturverfahren beglaubigt 
wird. 

9. Verfahren nach einem der Anspruche 1 bis 8, 
dadurch gekennzeichnet, daB die VerschlQsselungs- 
vorgange in einer versiegelten Einheit (Chipkarte) 
stattfinden, in der sich der geheime Schlussel (PaB- 
wort) nicht-auslesbar befindet, wobei lediglich der 
Authentifikator elektronisch oder optisch lesbar ist. 
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